39

在我的项目中,我需要允许其他人向我的脚本发送 ajax 请求。因此,外部请求可能来自其他网站和域,也可能来自浏览器扩展。
我在脚本顶部简单地添加了这两行,让他们这样做: 

header('Access-Control-Allow-Origin: *');
header('Access-Control-Allow-Methods: GET, POST');

现在我的问题是:这里有我错过的任何安全考虑吗?这个简单的解决方案会造成严重的问题吗?
如果是这样,更好的解决方案是什么?

感谢您的回复。

4

4 回答 4

19

如上所述,任何人都可以随时向您的页面发送请求:因此您需要的主要安全问题是验证用户输入并仅显示可供公众使用的信息。但这适用于所有脚本。

您需要关注的两个主要问题(在验证用户输入之后)是:

  1. 您可能遇到的问题是用户将信息接收到他们的脚本中。根据浏览器的不同(甚至在同一浏览器的不同版本之间),会有不同的安全规则阻止它们取回信息。一个常见的解决方案是将信息返回为“JSONP”,即将返回值包装为可由客户端执行的函数调用。这是一个简单的示例(取自http://www.geekality.net/2010/06/27/php-how-to-easily-provide-json-and-jsonp/)。要进一步锁定它,您可以坚持所有查询都是 JSONP 并拒绝任何未发送回调函数的人。

.

<?php

header('content-type: application/json; charset=utf-8');
$data = array(1, 2, 3, 4, 5, 6, 7, 8, 9);
echo $_GET['callback'] . '('.json_encode($data).')';

?>
  1. 有人经常打电话滥用您的服务。解决方案是捕获 IP 地址并在您从 IP 地址收到过多呼叫时拒绝。并非万无一失,但这是一个开始。

其他要记住的因素:

  • 脚本设置的 cookie 和其他标头可能会被忽略
  • 同样适用于会话
于 2012-11-15T00:07:57.947 回答
1

就像 zerkms 所说,如果他们只是“进入”您的 php 页面,他们将能够看到它回显的任何内容。 如果可能(不确定),它还将允许不受欢迎的人甚至在本地主机上创建自己的表单并通过 AJAX 提交以获取他们想要的响应.. 如果您同意,并且信息不明确/无害的......那么我想它会是“安全的”。获取/传输敏感信息的方法不好

于 2012-11-14T23:13:10.623 回答
0 
private function set_headers() {
    header("HTTP/1.1 ".$this->_code." ".$this->get_status_message());
    header("Content-Type:".$this->_content_type);           
    header("Access-Control-Allow-Origin: *");
}
于 2016-01-04T09:36:24.380 回答
0

这对我来说很完美。

header('Access-Control-Allow-Origin: *');
header("Access-Control-Allow-Headers: X-API-KEY, Origin, X-Requested-With, Content-Type, Accept, Access-Control-Request-Method");
header("Access-Control-Allow-Methods: GET, POST, OPTIONS, PUT, DELETE");
header("Allow: GET, POST, OPTIONS, PUT, DELETE");
$method = $_SERVER['REQUEST_METHOD'];
if($method == "OPTIONS") {
    die();
}
于 2019-10-21T13:47:18.740 回答